Il volume ed il valore dei dati usati ogni giorno dalle aziende rivelano in che modo esse operano e quanta importanza hanno. Per proteggere queste informazioni, sempre più aziende stanno ottenendo la certificazione ISO 27001.

Cos’è la certificazione ISO 27001?
Dal momento che l’informazione è un bene che aggiunge valore all’organizzazione, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo dello standard ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
La ISO 27001 è uno standard internazionale di sicurezza delle informazioni che fornisce i requisiti per l’implementazione, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni.
La certificazione ISO27001 è, dunque, il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, e dimostra che l’organizzazione ha definito ed implementato le best practice per la sicurezza delle informazioni.

L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio, la protezione delle informazioni e degli asset aziendali, inclusi gli asset IT. La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.
Perché ottenere la certificazione ISO 27001? Quali sono i benefici?
Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che l’azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato sul fatto che la sicurezza delle informazioni è gestita in linea con le best practice internazionali e gli obiettivi aziendali.
- Risparmiare denaro: Evita le sanzioni pecuniarie e le perdite economiche dovute alle violazioni dei dati. Secondo uno studio condotto da Ponemon, il costo medio globale di una violazione dei dati è stimato attorno ai 3,86 milioni di dollari (3,23 milioni di euro), aumentato del 6,4% rispetto al 2017.
- Soddisfare i requisiti legali: Rispetta e rende conforme l’organizzazione ai requisiti normativi (come quelli richiesti dal GDPR, Direttiva NIS e le altre leggi sulla sicurezza delle informazioni).
- Espandere il business: Soddisfa le richieste degli attuali clienti per una maggiore sicurezza dei dati e offre anche un vantaggio di marketing sulla concorrenza.
- Proteggere la reputazione: Dimostra di aver implementato tutte le misure necessarie per proteggere il business. Gli attacchi informatici stanno aumentando ogni giorno per volume e forza, e i danni finanziari e di immagine causati da una scarsa sicurezza delle informazioni possono essere fatali. La certificazione permette di ottenere un giudizio indipendente sul proprio stato di sicurezza, formalizzando la serietà e l’impegno aziendale in tal senso.
- Migliorare la struttura: Quando un’azienda cresce rapidamente, succede spessi che ci sia confusione sui ruoli e le responsabilità di protezione dei dati. Lo Standard aiuta le organizzazioni a definire chiaramente le responsabilità dei rischi delle informazioni.
L’impatto delle protezioni Cyber Security
Ci sono alcune soluzioni messe a disposizione dal ventaglio di prodotti e servizi di sistemi di sicurezza IT che possono agevolare enormemente il rispetto e la conformità ISO 27001, come ad esempio quelli proposti da Sophos o Fortinet, Eset o Acunetix. Questi servizi possono infatti aiutare l’organizzazione sotto molti aspetti, come ad esempio:
- Automatizzazione di segnalazioni e notifiche di criticità (eliminando le attività manuali dispendiose in termini di tempo e accelerando il rilevamento), la prevenzione, il monitoraggio e la riparazione attività.
- Politica sull’utilizzo di cryptographic controls
- Controlli contro malware
- Backup delle informazioni
- Accesso al network e network services
- Controllo vulnerabilità dei servizi esposti sul web
- Implementazioni di metodi di autenticazione sicuri (ad esempio quelli proposti da Yubico)
Un punto di partenza per creare una strategia di conformità di successo è, dunque, lo sviluppo di un tessuto di sicurezza che comprende l’intera superficie di attacco integrando tutti gli elementi di sicurezza.

Privacy-Safety e ISO27001
La conformità alla ISO 27001, pur certificata, non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla privacy. La differenza sostanziale tra legge sulla privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.
Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001. Per esempio, un impianto antincendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non soddisfa automaticamente le esigenze che esprime la norma ISO 27001, che si preoccupa anche della ‘correttezza’ dei ‘dati’ contenuti nei server e nei client, cosa non automaticamente garantita da un sistema antincendio conforme alle leggi dello stato.
GDPR e ISO 27001
GDPR e ISO 27001 sono due standard di conformità importanti che hanno molti elementi in comune. Entrambi mirano ad irrobustire la sicurezza dei dati ed a diminuire il rischio di violazione degli stessi, ed entrambi necessitano e dettano le linee guida per la creazione di un sistema organizzato al fine di assicurare la riservatezza, l’integrità e la disponibilità dei dati sensibili, tra cui:
- Riservatezza, confidenzialità e integrità dei dati.
- Valutazione del rischio.
- Gestione dei fornitori.
- Notifica di violazione.
- Privacy by design e by default.
- Conservazione dei registri.
La conformità alla ISO 27001 non garantisce però la conformità al GDPR, ma ne costituisce una parte importante. Questo perchè il GDPR ha uno scopo molto più ampio e una comprensione più fondamentale riguardo alla sicurezza ed alla privacy dei dati personali rispetto alla ISO 27001. Ad esempio, la ISO 27001 non copre direttamente alcuni aspetti associati alla privacy dei dati, che sono invece presenti nel GDPR come:
- consenso: i responsabili del trattamento dei dati devono dimostrare che le persone interessate hanno acconsentito al trattamento dei loro dati personali;
- portabilità dei dati: le persone hanno il diritto di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi, nonché di trasmettere tali dati ad un altro titolare senza ostacoli all’usabilità;
- diritto all’oblio: le persone hanno il diritto di cancellare i loro dati personali o di interromperne ulteriormente la divulgazione;
- diritto di limitazione del trattamento: gli individui hanno il diritto di limitare il modo in cui un’organizzazione utilizza i propri dati personali;
- diritto di opporsi: le persone interessate hanno il diritto di opporsi al trattamento dei dati per il marketing diretto, l’esecuzione di compiti legali, o scopi di ricerca e statistiche.
Il GDPR si concentra, dunque, sulla privacy dei dati e sulla protezione delle informazioni personali in maniera organica e completa, richiede alle organizzazioni maggiori sforzi per ottenere il consenso esplicito per la raccolta dei dati e garantire che tutti i dati siano trattati in modo lecito. Tuttavia, manca di dettagli tecnici organizzati a sistema su come mantenere un livello appropriato di sicurezza dei dati o attenuare le minacce interne ed esterne. A questo proposito si integra molto bene con la ISO 27001 che traduce in pratica alcuni principi fondamentali del GDPR. Fornisce, infatti, informazioni pratiche su come sviluppare politiche chiare e complete per ridurre al minimo i rischi per la sicurezza che potrebbero portare a incidenti di sicurezza.